딥시크, 데이터 프라이버시 우려..."ESG경영으로 풀어야"

[ESG경제=이진원 기자] 전 세계 AI 업계에 적지 않은 충격을 준 저비용·고효율 AI 모델 딥시크가 ‘데이터 프라이버시(data privacy)’ 논란에 휩싸이면서 ESG 업계도 이번 사태를 예의 주시하고 있다.

AI 붐이 일어나자 데이터센터의 전력 소비가 급증하는 상황에서 딥시크는 자사 AI 모델이 기존 모델들보다 에너지 효율적이라고 밝히면서 ESG 차원에서 긍정적인 평가를 받았다. 하지만 곧바로 데이터 프라이버시 논란에 휘말리자 딥시크가 ESG의 핵심 요소인 소비자 신뢰와 사회적 책임 측면에서 기대에 미치지 못하는 게 아니냐는 의문이 커지고 있다.

논란의 핵심은 딥시크가 사용자 정보를 중국 정부에 무단으로 제공할 수 있다는 점이다. 이런 우려는 딥시크가 수집하는 정보가 중국에 있는 서버에 저장되고 있다는 사실에서 비롯된다.

이런 사실이 알려지면서 정보 유출 우려가 커지자 국내에서는 기획재정부, 외교부, 국방부, 산업통상자원부·통일부 등 부처 수십여 곳이 딥시크를 업무망에서 차단한 가운데 차단에 동참하는 기업과 기관들이 빠르게 늘어나고 있다.

민감한 개인 정보, 딥시크 통해 중국 정부에 넘어가나

해외에서도 유사한 움직임이 목격되고 있다.

미국 해군과 항공우주국(NASA)과 같은 일부 연방기관은 보안 및 프라이버시 보호 문제로 딥시크를 차단했고, 미국 의회는 6일(현지시간) 정부 소유 기기에서 딥시크 사용을 금지하는 법안을 도입할 계획이라고 발표했다.

유럽에서는 이탈리아가 먼저 딥시크를 차단했고, 아일랜드, 벨기에, 네덜란드, 프랑스 등은 딥시크의 데이터 프라이버시 정책에 대한 조사에 착수했다. 이 밖에 호주, 일본, 대만 정부 기관도 딥시크 사용을 금지했다.

‘데이터 개인정보 보호’를 뜻하는 데이터 프라이버시는 ESG(환경·사회·지배구조) 중 특히 사회(S) 부문과 밀접하게 관련된 중요한 이슈다.

ESG에서 ‘사회’는 개인 보호, 고객 데이터 보안, 그리고 기업의 사회적 책임 등을 다루는데, 데이터 프라이버시는 이에 속하는 중요한 항목이다. 기업은 데이터 보호와 개인정보 관리를 통해 소비자와의 신뢰를 구축하고, 법적 규제를 지키고, 사회적 책임을 다해야 하는 게 당연하기 때문이다.

따라서 딥시크의 데이터 프라이버시 관련 우려가 사실로 판명 날 뿐 아니라 실제로 매우 심각한 문제로 드러난다면 이는 ESG 면에서도 딥시크를 부정적으로 평가할 수밖에 없는 건 자명하다.

ESG의 핵심 요소 데이터 프라이버시

딥시크는 이용약관에서 사용자에게서 세 가지 유형의 정보를 수집한다고 명시하고 있다. ▲이름과 이메일 주소처럼 사용자가 직접 제공한 데이터 ▲IP 주소와 같은 자동 수집한 정보 ▲애플과 구글 로그인처럼 다른 출처에서 수집한 정보다.

그런데 가장 큰 문제는 딥시크가 중국 서버에 사용자 정보를 저장한다는 것이다. 이럴 경우 딥시크가 수집한 데이터가 중국 정부에 넘어가 ‘임의로’ 활용될 가능성을 배제할 수 없다.

유럽데이터보호위원회(EDPB)의 2022년 법률 연구 논문에 따르면 중국의 개인정보 보호법은 기본적으로 “공동체의 안정성이 개인의 필요보다 우선해야 한다”고 되어 있다.

이는 중국의 개인정보 보호법이 유럽과 달리 개인의 프라이버시와 데이터 보호보다 국가의 안전과 사회적 안정성을 더 중요하게 여긴다는 뜻이다. 실제로 중국은 국가 안보나 범죄 수사를 위해 개인 데이터 보호에 대한 ‘수많은 예외’를 적용하고 있는 것으로 알려졌다.

데이터 보호 및 사이버 보안 전문 기업인 페루트 시큐리티(Feroot Security)의 CEO인 이반 차리니의 분석에 따르면 딥시크가 의도적으로 사용자 로그인 정보를 중국 이동통신사인 차이나 모바일(China Mobile)에 보낼 수 있는 코드를 숨겨 놓았다. 차이나 모바일은 미국에서 운영이 금지된 국영 통신 회사이다.

차리니는 ‘월스트리트저널’에 “이는 우리의 개인정보가 중국으로 전송되고 있다는 뜻이며, 우리에게 이를 거부할 수 있는 방법이 없다”면서 “한 마디로 딥시크는 미국 사용자가 연결하는 모든 것을 수집하고 있다”고 경고했다.

취약한 보안도 문제

중국이 사이버 보안 공격에 취약한 점도 딥시크의 데이터 프라이버시를 둘러싼 우려를 고조시키고 있다.

지난해 4월 발표된 글로벌 사이버 범죄 지수(World Cybercrime Index)에 따르면 중국은 사이버 보안 공격에 가장 취약한 국가 중 하나다. 당시 지수 순위에서 중국은 27.86으로 러시아(58.39)와 우크라이나(36.44)에 이어 3위를 차지했다.

딥시크는 탈옥(jailbreaking) 같은 사이버 보안 공격도 전혀 차단할 수 없는 것으로 나타났다. 그만큼 보안 차원에서 딥시크를 신뢰할 수 없다는 뜻이다.

탈옥이란 AI 모델에게 보안 및 윤리 가이드라인을 무력화하는 명령어를 입력해서 모델이 원래 제공하도록 훈련받지 않는 대답을 이끌어내는 걸 말한다. 악의적 사용자는 탈옥을 통해 ‘무기 제작법’ 같은 불법적이거나 위험한 콘텐츠를 생성할 수 있다.

1월 말 팔로알토 네트웍스(Palo Alto Networks)의 사이버 보안 연구팀인 유닛 42가 딥시크의 R1 모델과 R1 모델 직전에 나온 V3 모델이 탈옥 공격을 얼마나 잘 버티는지 알아본 결과 이 모델들이 탈옥에 가장 취약한 걸로 나타났다.

다른 AI 모델들이 이러한 공격을 일부라도 차단할 수 있는 것과 대조적이다.

갈수록 중요해지는 데이터 보호와 프라이버시

딥시크의 데이터 프라이버시 논란은 투자자들이 AI 모델 개발에 적극적인 알파벳과 메타 같은 미국의 빅테크들에도 AI 데이터 프라이버시 관련 위험을 낮춰줄 것을 요구하고 있는 가운데 커지고 있다.

미국의 국가법률및정책센터(National Legal and Policy Center)는 1월 빅테크들에게 생성형 AI 개발 및 훈련을 위해 개인 데이터를 사용하고 있는지 조사 결과와 함께 그러한 사용 위험을 줄일 수 있는 전략을 공개해줄 것을 촉구했다.

블룸버그에 따르면 이 센터는 알파벳, 메타, 애플, 아마존 등에 이러한 요구 사항을 전달했다.

다국적 컨설팅 업체인 PwC는 “최근 몇 년 동안 경제의 다양한 부문이 디지털화되고 데이터에 집중하며 개인 데이터에 의존하게 되면서 데이터 보호 및 프라이버시 위험이 증가하고 있다”면서 “데이터 보호 및 프라이버시 문제는 ESG 요소 준수의 일환으로 인식되고 있으며, 이는 투자자의 관심을 불러일으키고 비즈니스 연속성을 보장하는 현재의 글로벌 트렌드를 반영한 당연한 결과”라고 말했다.

PwC는 이어 “데이터 유출, 오용 및 개인 데이터 보호 실패로 인해 기업은 운영 및 개선 비용, 재정적 처벌 및 제재, 규제 조치, 평판 손상 등 다양한 위험에 계속 노출되고 있다”고 덧붙였다.